هجوم سيبراني يضرب الجيش الروسي بدعوات مزيفة لحفلات رأس السنة
كشف تقرير أمني حديث عن وقوف مجموعة تجسس إلكتروني غير معروفة على نطاق واسع خلف حملة سيبرانية جديدة استهدفت أفرادًا من الجيش الروسي ومؤسسات تعمل في قطاع الصناعات الدفاعية، مستخدمة أسلوبًا غير تقليدي تمثل في رسائل تصيد احتيالي تضمنت دعوات وهمية لحفلات رأس السنة الجديدة.
بداية الحملة السيبرانية
وبرزت الحملة وفقًا لتقرير صادر عن باحثين في شركة Intezer، إلى العلن في بداية شهر أكتوبر، وذلك بعد رصد ملف خبيث من نوع XLL جرى تحميله على منصة VirusTotal، وأظهرت البيانات أن أول عملية رفع للملف جاءت من أوكرانيا، قبل أن يعاد تحميله لاحقًا من داخل الأراضي الروسية، مما أثار الشكوك حول نطاق انتشار الهجوم.
وحمل الملف اسمًا يوحي بحساسية بالغة هو “أهداف العدو المخطط لها”، في محاولة واضحة لاستثارة فضول المستهدفين، وقد صمم الملف ليتمكن من تنفيذ تعليمات برمجية خبيثة تلقائيًا فور فتحه عبر برنامج Microsoft Excel، دون أي تفاعل إضافي من المستخدم، موضحًا الباحثون أن تشغيله يؤدي إلى استغلال ثغرة غير معروفة سابقًا أطلق عليها اسم EchoGather.
خداع بصري لإخفاء الاختراق
ويمنح هذا الباب الخلفي المهاجمين صلاحيات واسعة، تشمل جمع معلومات تفصيلية عن النظام المصاب، وتنفيذ أوامر عن بعد، فضلًا عن تحميل الملفات أو سحبها من الأجهزة المستهدفة وبعد ذلك، ترسل البيانات المسروقة إلى خادم تابع للمهاجمين، جرى تمويهه ليبدو كموقع إلكتروني لخدمات توصيل الطعام، في محاولة لإخفاء النشاط الخبيث وتفادي أنظمة الرصد.
من يقف خلف الهجوم؟
وأشار التقرير إلى أن المجموعة المنفذة تعرف باسم Goffee، ويعتقد أنها تنشط منذ عام 2022 على الأقل، ورغم هذا النشاط الممتد، فإن التقارير الغربية حول هجمات سيبرانية تستهدف جهات روسية لا تزال محدودة نسبيًا، وهو ما يعزوه الباحثون إلى ضعف الرؤية التقنية داخل الشبكات الروسية وصعوبة مراقبتها من الخارج.
دعوات حفلات ورسائل رسمية مزيفة لاستدراج الضحايا
ولإقناع الضحايا بفتح الملفات المصابة، لجأ القراصنة إلى رسائل تصيد مكتوبة باللغة الروسية، صيغت وفقًا لسيناريوهات مدروسة تستهدف فئات بعينها، ومن بين هذه الرسائل، دعوة مزيفة لحضور حفل موسيقي وجهت إلى ضباط عسكريين كبار، وذلك وفقًا لما ورد في تقرير Intezer.
وكشفت الوثيقة عن عيوب واضحة، إذ بدت مولدة بالذكاء الاصطناعي بشكل غير احترافي، واحتوت على أخطاء لغوية لافتة، إضافة إلى محاكاة مشوهة لشعار روسيا الرسمي، النسر ذي الرأسين، الذي ظهر أقرب إلى رسم طائر عام منه إلى الرمز الوطني المعتمد.
كما استخدمت المجموعة طعمًا آخر تمثل في رسالة تنتحل صفة خطاب رسمي صادر عن نائب في وزارة الصناعة والتجارة الروسية، تطلب من الجهات المستهدفة تقديم مستندات لتبرير أسعار عقود دفاعية حكومية.
وأوضحت Intezer أن هذه الرسائل استهدفت شركات كبرى تعمل في مجالي الصناعات الدفاعية والتكنولوجيا المتقدمة، مما يرجح أنها كانت الهدف الرئيسي للحملة.
تجارب جديدة.. وثغرات واضحة
ولم يحدد التقرير مدى نجاح الهجمات أو عدد الأنظمة التي تعرضت للاختراق، كما لم تعرف بدقة طبيعة المعلومات التي كان المهاجمون يسعون للحصول عليها، إلا أن الباحثين أكدوا أن سلوك المجموعة يعكس محاولات نشطة لتطوير أساليب جديدة للتهرب من أنظمة الكشف والحماية.
ونقل التقرير عن الباحثين قولهم إن الجهة المنفذة تبدو منخرطة في اختبار طرق جديدة لتفادي الاكتشاف، لكنها لا تزال تعاني من ثغرات واضحة على المستويين التقني واللغوي، مما يشير إلى أن أدواتها ما زالت في مرحلة التطوير.
وتعرف مجموعة Goffee أيضًا باسم Paper Werewolf، ويعتقد خبراء في الأمن السيبراني أنها ذات توجه موالي لأوكرانيا، رغم غياب أي تأكيد رسمي بشأن الجهة التي تقف خلفها.
سجل سابق من الهجمات
الجدير بالذكر، أن معظم التقارير السابقة حول نشاط هذه المجموعة صدرت عن شركات أمن سيبراني روسية، ففي أبريل الماضي، كشفت شركة Kaspersky أن المجموعة استخدمت برمجيات خبيثة لسرقة ملفات حساسة من وحدات تخزين USB عند توصيلها بأنظمة روسية مخترقة، مما أتاح لها الوصول إلى بيانات غير متصلة بالإنترنت.
كما أعلنت شركة BI.ZONE في أغسطس أن المجموعة نفسها استغلت ثغرة يوم صفر، إلى جانب ثغرة معروفة في برنامج WinRAR، لتنفيذ هجمات استهدفت عددًا من المؤسسات الروسية، ورغم أن الهدف الأساسي لنشاطها يتمثل في جمع المعلومات الاستخباراتية، فإن BI.ZONE وثقت سابقًا حالة واحدة على الأقل تسببت فيها هذه الهجمات بتعطيل عمليات داخل شبكة مخترقة، مما يلمح إلى أن تأثير نشاط المجموعة قد يتجاوز التجسس ليصل إلى إرباك العمليات التشغيلية للجهات المستهدفة.
